Discussion :

[Invité]

Bonjour,
Je suis naive sans doute, mais je n'avais pas réalisée que les PHP appelés par les javascript ;
1) l'étaient par le visiteur depuis son micro
2) que celui-ci voyais dansson source les paramétres passés en POST

De la deux question,
1) je ne peux protéger cette page par un htaccess quelle parade voyez vous

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
 
<Files "mapage.php">
Order Allow,Deny
Deny from All
</Files>

dans le cas d'un appel du javascript (donc lisible par le visiteur
du type

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
10
11
12
 
  if(variable.length != 0) 
  {
   $.post("zzz/mapage.php", {queryString: ""+variable+""}, function(data)
    {
    if(data.length >0) { envoi_de(data); }
    else {
    window.location='http:\/\/www.monsite.com\/index.php';
    exit;
    }
    });
  }

2) Pouvons nous contourner ce probléme en faisant un include ne gardant
que que la reception du POST dans machin.php, car j'ais l' impression que
dans ce cas c'est bien le site qui appelle l'include et donc par exemple
machin_2.php lui devrait pouvoir étre protégé par HTACCESS votre avis ?

Merci

[emmanuel.remy]

Salut,

Ton .htaccess n'intervient pas lors d'un include (il est lié à Apache, pas l'include qui est lié au filesystem).

Si tu as besoin de protéger ces fichiers, ta seconde remarque est valable, tu peux passer par un fichier intermédiaire (qui fait alors office de "controleur" si je fais une analogie basique avec un modèle MVC). Et tu peux protéger l'accès direct par la section Files du .htaccess, mais tu dois aussi pouvoir plus simplement mettre le fichier dans un répertoire qui n'est pas un sous répertoire du site, donc inaccessible via une url.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

1
2
3
4
5
6
7
8
9
 
|
-- protege
|     |
|     |---- aproteger.php
| 
-- www
     |
     |---

ERE

[Invité]

Salut,
ta seconde remarque est valable, tu peux passer par un fichier intermédiaire (qui fait alors office de "controleur" si je fais une analogie basique avec un modèle MVC). Et tu peux protéger l'accès direct par la section Files du .htaccess,

Merci de ta remarque , et ta comparaison avec un "Contrôleur" sur un réseaux/accés internet est superbe ! Trés bonne idée.

Salut,
mais tu dois aussi pouvoir plus simplement mettre le fichier dans un répertoire qui n'est pas un sous répertoire du site, donc inaccessible via une url.

Ca justement non car le fichier appelé par la page qui n'est qu'un html avec du javascript, ne peux appeler une telle page

Tu vois une idée clarifiante sur AJAX, tient dans le fait que je peux me fabriquer un html avec sa feuille de style et son javascript, et lancer cette page en s'executant elle va commencer le dialogue avec les ressources d'un site .... C' est a mon sens trés intéressant (hors sujet mais bon ça le prolonge)
Merci encore et bonne journée.